中小企業におけるサイバーセキュリティ対策の必要性が高まっている。防御が固い大企業を正面から攻略することを避け、取引先の中小企業から攻略する「サプライチェーン攻撃」が増えたからだ。

IPA セキュリティセンター企画部 中小企業支援グループ グループリーダーの横山尚人氏は「取引先からセキュリティの水準を高めるように要求されている中小企業は多い。しかし、何から手を付けていいか分からず、困っている中小企業が多いのが現状だ」と指摘する。

そうした状況のなか、IPAは2019年3月19日に「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開した。

大きく変わったのはそのコンセプト。横山氏が「ガイドラインというよりガイドブックだね、という声をもらう」と話す通り、実践的な内容になっている。

背景には前回の反省がある。横山氏は「第2版ではセキュリティポリシーの策定方法などに主眼を置いて編集したが、内容が難しいという指摘も多かった」と明かす。

今回の改訂では、セキュリティ対策の具体的な方法を事業者に示すため、「ガイドラインを最初から読み進めれば、順を追って少しずつセキュリティ対策ができるように構成を図った。専門用語も減らし、個人事業主でも取り組めるようになっている」（横山氏）。

まずはアップデートでは、中小企業はまず何から始めればいいのだろうか。IPAでは中小企業が最初に取り組むべきセキュリティ施策として、次の5点を提案している。（1）OSやソフトウェアの最新アップデート、（2）ウイルス対策ソフトの導入、（3）パスワードの強化、（4）機密情報の共有設定の見直し、（5）脅威・攻撃の手口を知ることの5つだ（図表1）。

図表1　中小企業が最初に取り組むべき情報セキュリティ5か条

「サイバー攻撃は大半が過去の脆弱性を悪用している。ウイルス対策をきっちりやる、OSやソフトの更新はきっちりするだけでかなりの攻撃を防げる。アップデート作業は億劫かもしれないが、面倒だという気持ちは抑えてほしい」と横山氏はアドバイスする。

パスワードは英数字記号を組み合わせるなど、複雑にすることに加えて、使いまわしを避けることも大事だ。どこか1つのサービスから認証情報が漏えいすると、他のサービスにも不正にアクセスされ、被害が拡大する恐れがある。「この他にも、顧客情報などの機密は誰でも触れるようにはしない、あるいはネットワークからは切り離す、攻撃の手口をニュースやメルマガなどから学ぶ。この5つに取り組むだけで一定の対策ができるはずだ」（横山氏）